Обзор угроз и технологий защиты Wi-Fi сетей
овременную информационную среду сложно представить без использования
Wi-Fi-технологии. В связи с этим актуальность проблемы передачи
защищенной информации по этому каналу только растет. Как и любой канал
связи, Wi-Fi-доступ содержит ряд уязвимостей, среди которых наиболее
распространенными считают:- подключение
неавторизованных клиентов. В случае с беспроводными решениями
злоумышленнику достаточно попасть в зону действия сети, и он при помощи
радиооборудования может инициировать подключение;
- клонирование точки доступа. Для связи клиентское оборудование обычно
выбирает точку доступа с наиболее качественным сигналом. Подменить
базовую точку доступа не составляет труда: для этого нужно обеспечить
сильный сигнал в выбранной зоне и узнать SSID;
- атаки на отказ в обслуживании (DoS-атаки). Чаще всего производятся
на сеть на базе WPA. Механизм атаки следующий: злоумышленник посылает
каждую секунду два пакета со случайными ключами шифрования, в результате
чего точка доступа, приняв эти пакеты, решает, что произведена попытка
НСД, и закрывает все соединения;
- подбор ключей. Большинство программных реализаций WPA строят
криптографический ключ для шифрования на основе введенного пароля и
сетевого имени (либо MAC-адреса), являющегося общедоступным. Информация,
зашифрованная этим ключом, свободно передается по сети. Методом
брутфорса подбирается исходный пароль. В данном случае пароль длиной до
20 символов считается потенциально опасным.
Так каким же образом бороться с многочисленными угрозами в беспроводной
сети (перехватом данных из эфира вещания, атаками отказа в обслуживании
(DoS), внедрением ложной точки доступа (AP)?
Мы рекомендуем использовать следующие методы защиты:
Авторизация и методы верификации.
Для авторизации клиентов рекомендуется использовать авторизацию с
помощью RADIUS либо верификацию клиентов с помощью TPM (trusted platform
module). Авторизации по стандартной технологии с применением внешнего
авторизующего ресурса открывает богатые возможности для разграничения
доступа на основе предоставленных учетных данных, индивидуальных для
каждого конечного потребителя, и позволяет легко настроить защищенный
гостевой вход.
Для устранения проблемы клонирования точки доступа и проведения DoS-атак применяют следующие методы верификации: - использование
модифицированных протоколов. Этот метод признан наиболее действенным
способом борьбы, поскольку вводит в заблуждение программное обеспечение,
применяемое при сканировании эфира, и делает анализ перехваченных
пакетов невозможным;
- определение временных и специфических характеристик протоколов и ОС
для удостоверения неизменности конечных точек. Используя данный подход,
можно создавать "от печаток" ОС, проверка которого позволяет исключить
внедрение ложной точки доступа или проведение атаки man-in-the-middle.
На канальном уровне наивысшую защиту дает связка Wi-Fi+VPN. В этом
случае программное обеспечение VPN-сервера проводит окончательную
идентификацию и аутентификацию пользователя и осуществляет его связь с
ресурсами защищенной сети.
Универсальная схема защиты.
В завершение приведем универсальную схему защиты, с использованием чипа
TPM. В рамках этой технологии основным компонентом при построении
системы защиты является специализированный чип Trusted Platform Module,
которым должны быть оборудованы все устройства сети. Чип TPM позволяет
со 100%-ной точностью авторизовать клиента Wi-Fi-сети, так как каждый
TPM содержит уникальный аппаратный сертификат.
Во время начальной загрузки TPM идентифицирует программную и аппаратную
часть. В процессе идентификации осуществляется анализ контрольных
значений различных компонентов системы и отправка результатов в TPM.
Результаты заносятся в специализированную область памяти, неизменную
даже в случае горячей перезагрузки системы. При соединении с сетью TPM
посылает контрольные значения из памяти в модуль принятия решений,
который сравнивает полученные значения со значениями базы данных. В
случае совпадения значений с базой данных ПК соединяется с сетью, в
противном случае доступ в сеть отклоняется.
Таким образом, с помощью ТРМ можно запретить доступ в сеть неавторизованным компьютерам и программному обеспечению.
Источник: Itsec.Ru
|